Ir para o conteúdo principal

Avaliação técnica de vulnerabilidades no código do Skala

Data de elaboração

18/08/2021

Responsável pelo estudo

José Lucas da Silva Costa


Equipe do estudo


Alvo Sistema Skala
Origem

Falhas de segurança

Objetivo

Avaliar falhas de segurança no sistema Skala
Documentação Correlata

Documentação Técnica: https://hermes-api.dev.local/swagger/

Observações

Sem observações.

1. Glossário de Termos


  1.  SID - Sistema Integrado de Descanso.

2. Introdução


Inicialmente o SID (Sistema Integrado de Descanso) é o sistema responsável pelo controle de férias do Poder Executivo Estadual, atualmente o Portal do Servidor no ato de uma solicitação de férias ou remarcação se comunica com o SID para lançamento de uma solicitação. 

3. Desenvolvimento - Implementação de notificação via e-mail e meu acesso no SID


3.1 E-mail 

A notificação por e-mail é em tese possível, foi levantada a hipótese de utilização sistema HERMES que foi criado com a finalidade auxiliar no envio de e-mails. A documentação técnica disponível no endereço eletrônico https://hermes-api.dev.local/swagger/ foi analisada pelo time e ficou constatado que a sua utilização é válida e recomendada.

3.2 Sistema Meu Acesso

Devido ao time TITÃS não ser responsável pelo referido sistema, a notificação neste sistema vai necessitar reuniões com o time responsável para sanar dúvidas a respeito da implementação da funcionalidade.

3.3 Possíveis problemas

Após diálogo entre os integrantes do time TITÃS, identificou-se que para o envio de um e-mail ao chefe imediato após uma solicitação de férias ou de remarcação, é necessário passar por uma série de etapas que serão demonstradas no fluxograma a seguir:

image-1629124609888.png

Fonte: Titãs

Consequentemente, o excesso de requisições em outros sistemas pode gerar um custo de processamento alto no sistema, pois o SID não armazena as informações necessárias para obter diretamente o e-mail de uma pessoa.

Outro problema desta implementação é o excesso de e-mails na caixa de entrada dos responsáveis pelas homologações, podendo estes serem considerados spam pelos servidores de e-mail dos destinatários.

3.4 Valor agregado

A notificação através do e-mail poderá conscientizar os chefes imediatos da novas solicitações, possibilitando a redução das solicitações na situação de "Aguardando Homologação".

4. Conclusão


O presente ESTUDO TÉCNICO PRELIMINAR, elaborado pelos integrantes TÉCNICOS do time TITÃS, considerando a análise dos desafios técnicos envolvidos e citados, conclui pela VIABILIDADE DA IMPLEMENTAÇÃO DA NOTIFICAÇÃO DE MODO CRITERIOSO, uma vez que foram considerados os potenciais benefícios em termos de eficiência e também os problemas envolvidos, principalmente potenciais problemas de desempenho da aplicação. Em complemento, os contratempos identificados são administráveis, pelo que RECOMENDAMOS o prosseguimento da demanda. Ressalva-se que o ideal é que a periodicidade de envio dos e-mails seja no máximo diária, para esta atividade recomenda-se a construção de um Job que faça o envio no período desejado.

5. Referências